Protección de los datos personales

La Directiva 95/46/CE constituye el texto de referencia, a escala europea, en materia de protección de datos personales. Crea un marco regulador destinado a establecer un equilibrio entre un nivel elevado de protección de la vida privada de las personas y la libre circulación de datos personales dentro de la Unión Europea (UE). Con ese objeto, la Directiva fija límites estrictos para la recogida y utilización de los datos personales y solicita la creación, en cada Estado miembro, de un organismo nacional independiente encargado de la supervisión de cualquier actividad relacionada con el tratamiento de los datos personales.

ACTO

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos [Ver actos modificativos].

SÍNTESIS

La presente Directiva se aplica a los datos tratados por medios automatizados (base de datos informática de clientes, por ejemplo), así como a los datos contenidos en un fichero no automatizado o que vayan a figurar en él (ficheros en papel tradicionales).

La Directiva no se aplicará al tratamiento de datos:

efectuado por una persona física en el ejercicio de actividades exclusivamente particulares o domésticas;
aplicado al ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, tales como la seguridad pública, la defensa o la seguridad del Estado.

La Directiva tiene como objetivo proteger los derechos y las libertades de las personas en lo que respecta al tratamiento de datos personales, estableciendo los criterios fundamentales para que el tratamiento sea lícito y los principios relativos a la calidad de los datos.

El tratamiento de datos solo es lícito si

el interesado ha dado inequívocamente su consentimiento; o
el tratamiento es necesario para el cumplimiento de un contrato en el que sea parte el interesado; o
el tratamiento es necesario para el cumplimiento de una obligación legal del responsable del tratamiento; o
el tratamiento es necesario para proteger los intereses vitales de la persona de cuyos datos se trate; o
el tratamiento es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero, o
el tratamiento es necesario para los fines de interés legítimo del responsable del tratamiento o de un tercero, siempre que sobre dichos intereses no prevalezcan los intereses del interesado en el ámbito de los derechos y libertades que requieren protección.

Los principios de calidad de los datos, que deben aplicarse a todas las actividades de tratamiento de datos lícitas, son los siguientes:

Los datos personales serán tratados de manera leal y lícita, y recogidos con fines determinados, explícitos y legítimos. Además, serán adecuados, pertinentes y no excesivos, exactos y, cuando sea necesario, actualizados, y deberán conservarse durante un período no superior al necesario y solo para los fines para los que fueron recogidos.
Categorías especiales de tratamiento: deberá prohibirse el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas y la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad. Esta disposición va acompañada de reservas que se aplicarán, por ejemplo, en caso de que el tratamiento sea necesario para salvaguardar el interés vital del interesado o para la prevención o el diagnóstico médico.

La persona cuyos datos son tratados, el interesado, puede ejercer los derechos siguientes:

El derecho a obtener información: el responsable del tratamiento deberá facilitar cierta cantidad de información (identidad del responsable del tratamiento, fines del tratamiento, destinatarios de los datos, etc.).
El derecho de acceso del interesado a los datos: todos los interesados deberán tener el derecho de obtener del responsable del tratamiento.
El derecho a oponerse al tratamiento de los datos: el interesado deberá tener el derecho a oponerse, por razones legítimas, a que los datos que le conciernen sean objeto de tratamiento. También deberá tener la posibilidad de oponerse, previa petición y sin gastos, al tratamiento de los datos respecto de los cuales se prevea un tratamiento destinado a la prospección. Por último, deberá ser informado antes de que los datos se comuniquen a terceros a efectos de prospección y tendrá derecho a oponerse a dicha comunicación.

Otros aspectos relevantes del tratamiento de datos:

Excepciones y limitaciones a los derechos del interesado: se podrá limitar el alcance de los principios relativos a la calidad de los datos, la información del interesado, el derecho de acceso y la publicidad de los tratamientos con objeto de salvaguardar, entre otras cosas, la seguridad del Estado, la defensa, la seguridad pública, la represión de infracciones penales, un interés económico y financiero importante de un Estado miembro o de la UE o la protección del interesado.
La confidencialidad y la seguridad del tratamiento: las personas que actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, sólo podrán tratar datos personales a los que tengan acceso, cuando se lo encargue el responsable del tratamiento. Por otra parte, el responsable del tratamiento deberá aplicar las medidas adecuadas para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental, la alteración, la difusión o el acceso no autorizados.
La notificación del tratamiento a la autoridad de control: el responsable del tratamiento efectuará una notificación a la autoridad de control nacional con anterioridad a la realización de un tratamiento. La autoridad de control realizará comprobaciones previas sobre los posibles riesgos para los derechos y libertades de los interesados una vez que haya recibido la notificación. Deberá procederse a la publicidad de los tratamientos y las autoridades de control llevarán un registro de los tratamientos notificados.

Las legislaciones nacionales deben prever un recurso judicial para los casos en los que el responsable del tratamiento de datos no respete los derechos de los interesados. Además, las personas que sufran un perjuicio como consecuencia de un tratamiento ilícito de sus datos personales tendrán derecho a obtener la reparación del perjuicio sufrido.

Se autorizará la transferencia de datos personales de un Estado miembro a un tercer país que garantice un nivel de protección adecuado; por el contrario, si bien no se autoriza la transferencia cuando no se garantice un nivel adecuado de protección, esta norma tiene varias excepciones que se enumeran en la Directiva; p. ej. cuando el propio interesado consienta la transferencia, en el caso de la celebración de un contrato, cuando sea necesario por motivos de interés público y también si el Estado miembro ha autorizado normas empresariales vinculantes o cláusulas contractuales.

La Directiva pretende facilitar la elaboración de códigos de conducta nacionales y comunitarios que contribuyan a una correcta aplicación de las disposiciones nacionales y comunitarias.

Cada Estado miembro designará una o varias autoridades públicas independientes encargadas de controlar la aplicación en su territorio de las disposiciones adoptadas por los Estados miembros en aplicación de la presente directiva.

Se crea un grupo para la protección de las personas en lo que respecta al tratamiento de datos personales, que estará compuesto por representantes de las autoridades de control nacionales, por representantes de las autoridades de control de las instituciones y organismos comunitarios y por un representante de la Comisión.

REFERENCIAS

Acto	Entrada en vigor	Plazo de transposición en los Estados miembros	Diario Oficial
Directiva 95/46/CE	13.12.1995	24.10.1998	DO L 281de 23.11.1995

Acto(s) modificativo(s)	Entrada en vigor	Plazo de transposición en los Estados miembros	Diario Oficial
Reglamento (CE) n^o 1882/2003	20.11.2003	-	DO L 284 de 31.10.2003

Las modificaciones y correcciones sucesivas de la Directiva 95/46/CE se han integrado en el texto de base. Esta versión consolidada tiene un valor meramente documental.

ACTOS CONEXOS

INFORMES DE APLICACIÓN

Comunicación de la Comisión al Parlamento Europeo y al Consejo, de 7 de marzo de 2007, «Seguimiento del Programa de trabajo para una mejor aplicación de la Directiva sobre protección de datos» [ COM (2007) 87 final - no publicada en el Diario Oficial].

Esta Comunicación examinó el trabajo realizado en el marco del Programa de trabajo para una mejor aplicación de la Directiva sobre protección de datos contenido en el Primer informe sobre la aplicación de la Directiva 95/46/CE. La Comisión destacó mejoras en que todos los Estados miembros habían transpuesto la Directiva.

La Comisión precisó que la Directiva no debería modificarse y que, por su parte:

proseguirá su trabajo con los Estados miembros y, en su caso, lanzará procedimientos oficiales de infracción;
preparará una comunicación interpretativa sobre determinadas disposiciones de la Directiva;
proseguirá la aplicación del programa de trabajo;
presentará una legislación sectorial para la UE, en caso de evolución tecnológica importante en un ámbito específico;
proseguirá su cooperación con sus socios exteriores, en particular los Estados Unidos.

Informe de la Comisión, de 15 de mayo de 2003, «Primer informe sobre la aplicación de la Directiva sobre protección de datos (95/46 CE)» [ COM (2003) 265 final - no publicado en el Diario Oficial].

El informe daba cuenta, entre otras cosas, de los resultados de las consultas realizadas por la Comisión sobre la evaluación de la Directiva 95/46/CE entre los gobiernos, las instituciones, las empresas, las asociaciones de consumidores y los ciudadanos. Los resultados de las consultas mostraron que pocos participantes abogaron por la modificación de la Directiva. Por otro lado, tras consultar a los Estados miembros, la Comisión observa que una mayoría de ellos, así como de autoridades nacionales de control, consideran que no es necesaria la modificación de la Directiva en este momento.

Pese a los retrasos y lagunas en la aplicación, la Directiva ha cumplido su principal objetivo, a saber, eliminar los obstáculos a la libre circulación de datos personales entre los Estados miembros. La Comisión estimaba por otra parte que se había alcanzado el objetivo de garantizar un elevado nivel de protección en la Comunidad, ya que mediante la Directiva se establecen algunas de las normas de protección de datos de más alto nivel del mundo.

No obstante, otros objetivos de la política de mercado interior no se han satisfecho. La legislación sobre protección de datos sigue mostrando grandes divergencias entre los Estados miembros. Ahora bien, esas disparidades impiden a las organizaciones multinacionales desarrollar políticas paneuropeas sobre protección de datos. Por ello, la Comisión anunció que haría todo lo necesario para resolver esta situación evitando, en la medida de lo posible, proceder a una actuación formal.

En cuanto al nivel general de conformidad de la legislación sobre protección de datos en la UE, se pueden destacar tres dificultades:

recursos insuficientes en cuanto a la aplicación;
conformidad muy irregular por parte de los responsables del tratamiento de datos;
conocimiento al parecer escaso por parte de los interesados acerca de sus derechos, que puede ser el origen del fenómeno anterior.

Con objeto de lograr una mejor aplicación de la Directiva sobre protección de datos, la Comisión ha adoptado un programa de trabajo compuesto por una serie de actuaciones que deberán llevarse a cabo a partir de la adopción del presente informe hasta el final de 2004. Dichas actuaciones constan de las siguientes iniciativas:

debates con los Estados miembros y las autoridades de protección de datos sobre los cambios necesarios para adecuar plenamente la legislación nacional a los requisitos de la Directiva;
asociación de los países candidatos a los esfuerzos por lograr una aplicación mejor y más uniforme de la Directiva;
mejora de la notificación de todos los actos jurídicos de transposición de la Directiva;
simplificación de las condiciones de las transferencias internacionales de datos;
promoción de las tecnologías que refuerzan la protección de la intimidad;
fomento de la autorregulación y los códigos de conducta europeos.

DIRECTIVA SOBRE LA PRIVACIDAD Y LAS COMUNICACIONES ELECTRÓNICAS

Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) [Diario Oficial L 201 de 31.7.2002].

Esta Directiva se adoptó en 2002 al mismo tiempo que un nuevo conjunto de textos legislativos destinado a servir de marco al sector de las comunicaciones electrónicas. En ella se incluyen disposiciones sobre una serie de temas más o menos sensibles, como la conservación de los datos de conexión por parte de los Estados miembros a efectos de vigilancia policial (retención de datos), el envío de mensajes electrónicos no solicitados, la utilización de los denominados «chivatos» (cookies) y la inclusión de datos personales en las guías públicas.

El Reglamento (UE) n^o 611/2013 contiene normas sobre la notificación de casos de violación de datos personales por parte de los proveedores de servicios de comunicaciones en caso de pérdida, robo u otro incidente que comprometa la seguridad de los datos personales de sus clientes.

En caso de producirse una violación de datos personales que comprometa la seguridad de dichos datos, de conformidad con lo exigido por la Directiva 2002/58/CE, los proveedores deben informar a la autoridad nacional competente y también, en determinados casos, a los abonados y particulares afectados cuyos datos se vean afectados por la violación. El Reglamento (UE) 611/2013 presenta «medidas técnicas de aplicación» para aclarar la manera de cumplir estas obligaciones.

Entre otras cosas, los proveedores deberán:

informar del incidente a la autoridad competente dentro de las 24 horas siguientes a la detección del caso, para maximizar su contención;
tener en cuenta el tipo de datos que han resultado comprometidos al determinar si se notifica a los abonados y particulares; p. ej. cuando los datos contienen información financiera, correo electrónico, archivos de registro de internet, historiales de navegación web, etc.;
proporcionar a la autoridad competente y a los abonados o particulares pertinentes detalles sobre el incidente, el tipo de datos afectados y las medidas tomadas para solucionar el problema.

CLÁUSULAS CONTRACTUALES TIPO PARA LA TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES

Decisión 2004/915/CE de la Comisión, de 27 de diciembre de 2004, por la que se modifica la Decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países [Diario Oficial L 385 de 29.12.2004].

La Comisión Europea aprobó nuevas cláusulas contractuales tipo que podrán utilizar las empresas para garantizar adecuadamente la transferencia de datos personales de la UE a terceros países. Estas nuevas cláusulas se añadirán a las ya existentes en el marco de la Decisión de la Comisión de junio de 2001 (véase a continuación).

Decisión 2001/497/CE de la Comisión, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE [Diario Oficial L 181 de 4.7.2001].

Esta Decisión define las cláusulas contractuales tipo que garantizarán un nivel adecuado de protección de los datos personales transferidos de la UE a terceros países. La decisión obliga a los Estados miembros a reconocer que las sociedades u organismos que utilicen esas cláusulas tipo en contratos relativos a transferencias de datos personales a terceros países garantizan un nivel adecuado de protección de los datos.

Decisión 2010/87/UE de la Comisión relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo [Diario Oficial L 39 de 12.2.2010]

Decisiones de la Comisión acerca de la adecuación de la protección de los datos personales de varios países terceros de conformidad con el Art. 25 (6): hasta ahora, la Comisión ha reconocido a Andorra, Argentina, Australia, Canadá (organizaciones comerciales), Suiza, Islas Feroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zealanda, Uruguay y los principios de puerto seguro del Departamento estadounidense de Comercio como lugares que ofrecen una protección adecuada.

PROTECCIÓN DE DATOS POR LAS INSTITUCIONES Y ORGANISMOS DE LA COMUNIDAD

Reglamento 45/2001/CE del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos [Diario Oficial L 8 de 12.1.2001].

Este Reglamento se propone garantizar la protección de los datos personales en el marco de las instituciones y organismos de la Unión Europea. El texto contempla lo siguiente:

disposiciones que garantizan un nivel de protección elevado para los datos personales tratados por las instituciones y los organismos comunitarios;
creación de una instancia de vigilancia independiente encargada de controlar la aplicación de dichas disposiciones.

última actualización 08.03.2014